Tavaly a Bitport is foglalkozott vele, hogy súlyos támadás érte a LastPass rendszerét. A hekkerek két hullámban jutottak házon belülre. A vállalat most újabb részleteket közölt az incidensről.

Mint a DevClass írja, egy vezető DevOps mérnöktől lopták azokat az érvényes hitelesítő adatokat, melyekkel hozzáfértek egy megosztott felhős környezethez.

Alkalmazásszinten keveredett magánélet és munka

A támadók a mérnök otthoni számítógépét vették célba, amelybe egy harmadik féltől származó médiaszoftver távoli kódfuttatást lehetővé tevő sérülékenységét kihasználva jutottak be. A gépre keyloggert (billentyűlenyomásokat rögzítő program) telepítettek, amivel megszerezték a mérnök mesterjelszavát – annak birtokában pedig simán hozzáfértek LastPass-os vállalati trezorjához.

Tudták, kit kell támadni: a célszemély egyike volt annak a négy DevOps mérnöknek, akik hozzáfértek azokhoz a dekódoló kulcsokhoz, amelyekkel be lehetett lépni egy biztonságkritikus felhőalapú tárhelyszolgáltatásba. Olyan adatok szivárogtak ki így, mint a LastPass AWS S3-on tárolt éles biztonsági mentéseinek hozzáférési és visszafejtési kulcsai.

A hekkerek először 2022 augusztus első felében (8-12. között) egy kompromittált fejlesztői fiókon keresztül hajtottak végre támadást. Az azonban csak arra szolgált, hogy egy majdani, nagyobb támadáshoz szerezzenek muníciót. Az ott szerzett adatokkal törték fel a DevOps mérnök gépét is. Érdekes egybeesés, bár szerencsétlen véletlen is lehet, hogy a mérnök gépén megtört médiaszoftver, a Plex szervereiről a második támadás indulása (augusztus 12.) után 12 nappal legalább 15 millió felhasználó adatait lopták el.

És hogy mi köze mindehhez a DevOps-nak? A hekkerek mindkét támadási körnél egy kompromittált fejlesztői fiókon keresztül jutottak be a LastPass rendszerébe. De miért történhetett meg ez? A kérdésre voltaképpen újabb kérdéssel lehet válaszolni. Miért futott távoli hozzáférést is lehetővé tevő sebezhető konzumer médiaszoftver egy olyan otthoni számítógépen, amelyet biztonságkritikus funkciókra (tudniillik több millió ügyfél hitelesítő adatainak védelme) is használtak?

Sok mindent újra kell gondolni

A távmunka népszerű, különösen a fejlesztők között. De a LastPass-incidens komoly kétségeket vet fel azzal kapcsolatban, hogy ez fenntartható-e bizonyos munkakörökben. Mert annak mindig van esélye, hogy vagy a szabályzatban, vagy annak gyakorlati alkalmazásában, esetleg mindkettőben lesznek lyukak. Daniel Cuthbert, az OWASP Application Security Verification Standard társszerzője, aki nem mellesleg a brit kormány kiberbiztonsági tanácsadó testületének tagja, a Twitteren úgy fogalmazott, hogy az eset sok kérdést vet fel az otthoni munkavégzéssel, de még a hálózattervezéssel kapcsolatban is.

Clemens Vasters, a Microsoft eseménykezelésért felelős vezető architektje, szerint az ilyen eesetek csak egyféleképpen védhetők ki: olyan automatizált menedzsment-csatornák alkalmazásával, amelyeknél a kritikus titkokat csak maga a rendszer ismeri, azokhoz ember soha, semmilyen módon nem férhet hozzá.

A DevClass felveti annak a fontosságát is, hogy a fejlesztői környezetek szigorúan szeparálni kell az éles környezettől, és a fejlesztőket kötelezni kell arra, hogy csak és kizárólag védett hálózatokon dolgozzanak.